Fritz!Box default gateway abändern

panguu
Goto Top
Hallo Leute,

gegeben ist eine Fritz!Box aus den aktuellen Modellreihen mit IP-Subnet 172.16.0.0/24. Die Fritzbox ist auch Kabelmodem und versorgt das Netz mit Internet. Ich möchte jedoch sämtlichen internet traffic über einen gesonderten Host (172.16.0.123/24) abwickeln, die Fritzbox soll also sämtliche Internetanfragen über den genannten separaten Host leiten. Also ist mein Ziel das default gateway auf der Fritzbox abzuändern, so dass der DHCP-Server den clients den Host 172.16.0.123/24 als Router mitgibt. Leider finde ich keine Möglichkeit in den DHCP-Einstellungen diese Sache einzustellen. Ich kann den DHCP-clients lediglich einen manuellen DNS-Server zuweisen, aber von der default route keine Spur weit und breit.

Ich weiß, dass das sehr unüblich ist und es handelt sich um einen Spezialfall worauf nicht näher eingegangen werden soll. Ich suche lediglich die Möglichkeit das default gateway abzuändern für DHCP-Clients und würde gerne wissen ob das irgendwie durch irgendwelche Hacks funktioniert oder absolut unmöglich ist, da die Fritzbox es nicht zulässt. Hinweis: es soll kein fremdes image installiert werden sondern das original Fritz!Os.

Was ich bisher herausgefunden habe durch trial-and-error:

Workaround 1:
Ich könnte beim jeweiligen DHCP-Client manuell ein "default gateway" setzen (override), statt demjenigen welches der DHCP-Server (=Fritzbox) mitübermittelt hat. Das ist aber doof und umständlich, da es für alle clients händisch gemacht werden müsste. Damit wäre das weiter unten beschriebene Probleme jedoch trotzdem noch existent.

Workaround 2:
Ein weiterer workaround ist, dass ich in den Fritzbox Einstellungen unter "statische Routen" einfach 0.0.0.0/0.0.0.0 und das gewünschte gateway eingeben kann. Das schluckt die Fritzbox und es funktioniert auch. Die Fritzbox leitet somit sämtlichen nicht-internen Verkehr an das gesetzte gateway. Funktioniert wider Erwartens einwandfrei und damit wäre ich glücklich, wenn jedoch nicht folgendes Problem wäre...

Auf der Fritzbox läuft auch ein Gast-WLAN, welches die Fritzbox (sehr light und schlicht) defaultmäßig über das subnet 192.168.179.0/24 abwickelt. Wenn ich workaround2 nutze dann packt das die Fritzbox nicht, der Gast-WLAN Verkehr wird nicht korrekt weitergereicht, da es erwartungsgemäß von den Fritzbox-internen rules geblockt wird. Es handelt sich ja um ein (simpel) isoliertes Netzwerk. Der Gast-WLAN client z.B. 192.168.179.44/24 hat als default gateway die 192.168.178.1/24 von der Fritzbox erhalten. Man kann dem Gast-WLAN-Client schlecht die 172.16.0.123/24 mitteilen, damit kann er nichts anfangen.

Gibt es eine Möglichkeit, dies irgendwie einfach und simpel zu realisieren ohne Einsatz von weiterer Software/Hardware ? Mir ist selbstverständlich bekannt, dass ich das bei mir ganz anders gelöst hätte und mit pfSense und anderen Routern auch sehr simpel wäre. Hier geht's aber um die gegebene Konstellation, die leider fest vorgegeben ist.

Freue mich auf konstruktive Meinungen und Tips. Vielen Dank vorab!

Content-Key: 3441668495

Url: https://administrator.de/contentid/3441668495

Ausgedruckt am: 07.08.2022 um 07:08 Uhr

Mitglied: chgorges
chgorges 25.07.2022 um 14:33:46 Uhr
Goto Top
Moin,

du willst das WAN-Gateway der Fritzbox auf eine IP-Adresse im LAN-Subnetz der Fritzbox legen?

Anhand der Formulierung merkst du jetzt sicherlich (und hoffentlich) selber, dass da nicht geht.

Entweder setzt du den von dir nicht näher genannten Host mit der 172.16.0.123 als NAT-Router vor die Fritzbox, oder lässt den Host als Squidproxy im LAN-Subnetz laufen und gibst die Info den Clients mit.

VG
Mitglied: Drohnald
Drohnald 25.07.2022 um 14:39:50 Uhr
Goto Top
Hi,

kann der gesonderte Host 172.16.0.123/24 denn nicht selbst DHCP-Server werden? Muss ja dann ein Router oder Proxy-Server sein.
Wenn es intern nicht mehrere Netze gibt findet ohnehin nur ein Routing ins Internet statt und der interne Traffic würde laufen wie zuvor.

Gastnetz bleibt dann natürlich auf der Fritze, aber das ist ohne zusätzlichen Router auch nicht zu ändern.

Gruß
Drohnald
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2022 um 15:14:00 Uhr
Goto Top
Moin,

Paß Dir die ar7.cfg dann halt manuell an.

lks
Mitglied: TwistedAir
TwistedAir 25.07.2022 um 15:28:48 Uhr
Goto Top
Hallo,

technisch sauber ist m. E. nur ein Router um zwei Netze zu separieren.

Ich möchte jedoch sämtlichen internet traffic über einen gesonderten Host (172.16.0.123/24) abwickeln

Selbst wenn du die Einstellungen auf den Clients, Host und Fritzbox so hinbekommst wie gewünscht, ist es ein unübliches Setup, das dir beim Troubleshooting auf die Füße fallen kann, da du dann viele Einstellungen berücksichtigen musst. Und ein Client könnte von dritter Seite so verändert werden, dass der Traffic eben nicht über den Host läuft: das ist ein (L2-)Netz, du hast schlicht keine Kontrolle an der Stelle.

Wenn es kein zusätzliche Hardware sein soll, ist die Frage, ob der Host noch einen zweiten Netzwerk-Port hat bzw. spendiert bekommen kann. Ein Port für das Netz mit den Clients, eines zur Fritzbox. Der Host muss sich dann auf Client-Seite ums Routen und DHCP kümmern.

Des Weiteren könnte die Angabe des Zwecks deines Setups möglicherweise zu einem anderen Ergebnis führen: wenn du z. B. nur monitoren willst, welche Art von Traffic zur Fritzbox läuft, wäre es je nach technischer Ausstattung eine Option den Switch-Port zur FB zu spiegeln und den so ausgeleiteten Verkehr zu analysieren. Aber das ist Kristallkugelei, denn du schreibst ja nicht, warum du das Ganze so machst.

Grüße
TA
Mitglied: panguu
panguu 25.07.2022 um 16:07:14 Uhr
Goto Top
Hallo nochmal. Also er hat die Fritzbox, die ihm den Internetzugang herstellt. Er hat jedoch auch einen VPN-Anbieter, den er für sein gesamtes Netz nutzen möchte. Bisher hat er auf PC1 manuell eine OpenVPN-Verbindung zu diesem aufgebaut oder eben auf PC2. Er will aber sein "gesamtes" Heimnetz über den angemieteten VPN-Server laufen lassen.

Die FB hat 172.16.0.1/24
Das Gäste-WLAN auf der FB hat 192.168.179.1/24

Er hat einen Router mit DD-WRT, welcher über ein simples Netzwerkkabel mit seiner FB verbunden ist, dieser Router hat 172.16.0.123/24. Da seine FB nicht als OpenVPN-Client fungieren kann meinte er, hat er diesen DD-WRT Router der als OpenVPN-CLient eingerichtet ist und der Link steht auch. Durch redirect-default-gateway leitet dieser DD-WRT also alles über den VPN-Tunnel.

Wie kriegt er das mit dem Gast-WLAN am besten gelöst wenn er geographisch-bedingt jedoch lediglich die Fritzbox für WiFi nutzen kann und nicht den anderen DD-WRT Router?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2022 aktualisiert um 16:19:34 Uhr
Goto Top
Moin,

Wieso kaskadierst Du nicht einfach beide Router?

Du hängst den openWRT-Router direkt hinter die Fritte und alle anderen geräte an den OpenWRT-Router läßt die Fritte nur noch gateway für den openWRT-Router spielen.

lks
Mitglied: TwistedAir
TwistedAir 25.07.2022 aktualisiert um 16:22:57 Uhr
Goto Top
Hmmm... bin mir nicht sicher, ob es klappt: kannst du (meistens) Port 4 der FB als Gastnetz konfigurieren? Also WLAN (Gast) in, FB-Port 4 (Gast) out, DD-WRT (intern) in, DD-WRT (VPN) out, FB Port 1/2/3 (Internet) in, FB WAN (Internet) out.

AVM - Gastzugang einrichten (Punkt 1.4.)
Mitglied: Drohnald
Drohnald 25.07.2022 um 16:22:37 Uhr
Goto Top
Hmmm... bin mir nicht sicher, ob es klappt: kannst du (meistens) Port 4 der FB als Gastnetz konfigurieren? Also WLAN (Gast) in, FB-Port 4 (Gast) out, DD-WRT (intern) in, DD-WRT (VPN) out, FB Port 1/2/3 (Internet) in, FB WAN (Internet) out.
Gastnetz ist doch schon in Benutzung und soll gerade nicht ins VPN

Simple Kaskade wie von lks vorgeschlagen und fertig.
Mitglied: panguu
panguu 25.07.2022 aktualisiert um 16:24:26 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Wieso kaskadierst Du nicht einfach beide Router?

Du hängst den openWRT-Router direkt hinter die Fritte und alle anderen geräte an den OpenWRT-Router läßt die Fritte nur noch gateway für den openWRT-Router spielen.

Hallo LKS,

Ist es das bis jetzt denn nicht so? Kannst du das etwas näher erläutern wie du das meinst damit es Sinn ergibt und funktionieren kann?

Zitat von @TwistedAir:
Hmmm... bin mir nicht sicher, ob es klappt: kannst du (meistens) Port 4 der FB als Gastnetz konfigurieren? Also WLAN (Gast) in, FB-Port 4 (Gast) out, DD-WRT (intern) in, DD-WRT (VPN) out, FB Port 1/2/3 (Internet) in, FB WAN (Internet) out.

Soviel ich weiß kann man Port4 der FB als das Gastnetz nutzen, ja. Wie meinst du das mit der physikalischen Verbindung, ich blick da mit den in und out's bei deiner Erklärung nicht ganz durch face-smile entschuldige bitte. Kannst du das auch näher erläutern ?

@Drohnald und Rest:

Sorry falls das falsch ausgedrückt wurde. Aber doch: Gast-Netz soll auch übers VPN. Die GESAMTE site soll über seine VPN-Strecke gehen.


Danke euch!
Mitglied: TwistedAir
TwistedAir 25.07.2022 um 16:28:40 Uhr
Goto Top
Gastnetz ist doch schon in Benutzung und soll gerade nicht ins VPN
Ach so, hatte das so verstanden, dass sich die Clients (aus räumlichen Gründen?) nur mit der FB verbinden können und nicht mit dem DD-WRT.
Wie kriegt er das mit dem Gast-WLAN am besten gelöst wenn er geographisch-bedingt jedoch lediglich die Fritzbox für WiFi nutzen kann und nicht den anderen DD-WRT Router?

Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2022 um 16:29:48 Uhr
Goto Top
Zitat von @panguu:

Sorry falls das falsch ausgedrückt wurde. Aber doch: Gast-Netz soll auch übers VPN. Die GESAMTE site soll über seine VPN-Strecke gehen.

Dann ignoriere das Gastnetz der Fritte und mach so wie ich es gesagt habe. Du hängst den WAN-Port des OpenWRT-Routers an einen LAN-Port der Fritte (kein Gastnetz!) und hängst alles andere an dem OpenWRT-Router- Unter OpenWRT kannst Du genausogut gastnetze oder getrennte Netze einrichten. Dann pakcts Du die verschiedenenen Geräte in das jeweils genwünschte netz und alles wird gut.

lks
Mitglied: panguu
panguu 25.07.2022 um 16:30:06 Uhr
Goto Top
Ja, die WiFi-Clients können sich leider nicht mit dem DD-WRT WLAN verbinden, das WiFi-Geraffel muss auf der FB laufen
Mitglied: em-pie
em-pie 25.07.2022 um 16:31:52 Uhr
Goto Top
Moin,

also ICH würde ja OpenWRT als DHCP laufen lassen:
Zitat von @Drohnald
kann der gesonderte Host 172.16.0.123/24 denn nicht selbst DHCP-Server werden? Muss ja dann ein Router oder Proxy-Server sein.

Wobei ich gerade nicht weiss, ob das Gastnetz noch versorgt wird, wenn in der Fritte der DHCP-Server aus ist...
Mitglied: TwistedAir
TwistedAir 25.07.2022 um 16:39:16 Uhr
Goto Top
Soviel ich weiß kann man Port4 der FB als das Gastnetz nutzen, ja. Wie meinst du das mit der physikalischen Verbindung, ich blick da mit den in und out's bei deiner Erklärung nicht ganz durch face-smile entschuldige bitte. Kannst du das auch näher erläutern ?

Kein Problem... so wie ich deine Posts verstanden habe.... Die Clients hängen am WLAN-Gastnetz der FB, werden dann über Port 4 der FB als Gastnetz per Kabel ausgeleitet. Der DD-WRT übernimmt den Verkehr auf der internen Seite und gibt ihn als VPN-Client auf einem zweiten Kabel an die FB zurück; nun aber auf einen internen Port der FB (1-3). Die FB routet nun das ganze ins Internet weiter. So die Theorie. face-wink

Grüße
TA
Mitglied: panguu
panguu 25.07.2022 um 16:39:32 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Dann ignoriere das Gastnetz der Fritte und mach so wie ich es gesagt habe. Du hängst den WAN-Port des OpenWRT-Routers an einen LAN-Port der Fritte (kein Gastnetz!) und hängst alles andere an dem OpenWRT-Router- Unter OpenWRT kannst Du genausogut gastnetze oder getrennte Netze einrichten. Dann pakcts Du die verschiedenenen Geräte in das jeweils genwünschte netz und alles wird gut.

das ergibt Sinn und soweit verstanden. Aber was mache ich mit den WiFi-Clients, die sich auf der Fritzbox anmelden? Die sollen auch übers VPN geschickt werden.
Mitglied: panguu
panguu 25.07.2022 um 16:42:46 Uhr
Goto Top
@TwistedAir: funktioniert das so wie von dir beschrieben? Klingt irgendwie wirr :P wie schauen da die network configs aus und im Beispiel der Routen ?
Mitglied: TwistedAir
TwistedAir 25.07.2022 um 16:47:27 Uhr
Goto Top
das ergibt Sinn und soweit verstanden. Aber was mache ich mit den WiFi-Clients, die sich auf der Fritzbox anmelden? Die sollen auch übers VPN geschickt werden.

Gegenfrage: Bei welchem Netz melden sich die Client bei der FB an? Am internen WLAN (üblichweise 192.168.178.x) oder am Gast-WLAN (üblicherweise 192.168.179.x)? Oder an beiden?
Mitglied: panguu
panguu 25.07.2022 aktualisiert um 16:50:03 Uhr
Goto Top
Die allermeisten Wifi-Clients (Tablets, Smartphones, Smart-TV) an dem Gäste-WLAN der Fritzbox, sie nutzen lediglich Internet zum Internetsurfen, da ist glaub 80/443/Email-Ports und WhatsApp Ports freigegeben. Aber es gibt auch 2 clients die sich am normalen Fritzbox-WiFi anmelden, die hängen also im selben Netz wie die festen Endgeräte (PCs / Notebook)

Die festverkabelten Clients hängen momentan an den Fritzbox-Ports 1-3 bzw. mit Switch mehrere Endgeräte.
Mitglied: TwistedAir
TwistedAir 25.07.2022 um 17:15:56 Uhr
Goto Top
Dann könnte man die Logik umdrehen? Der DD-WRT kommt mit dem Client-Port ans Gast-Netz und mit dem internen Port ans interne Netz der FB. Das Ergebnis wäre dann:
  1. Interne Clients und interne WLAN-Clients gehen ins VPN.
  2. Der DD-WRT-Client geht übers Gastnetz der FB ins Internet.
  3. Gast-WLAN-Clients gehen direkt ins Internet.

Entspricht das schon den Erfordernissen? Das Problem an der Sache ist ja, dass du drei Netze (intern, Gast und VPN) hast, die jetzt irgendwie auf die zwei internen Netze der FB verteilt werden müssen.

Grüße
TA
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2022 um 17:41:30 Uhr
Goto Top
Zitat von @panguu:

Zitat von @Lochkartenstanzer:
Dann ignoriere das Gastnetz der Fritte und mach so wie ich es gesagt habe. Du hängst den WAN-Port des OpenWRT-Routers an einen LAN-Port der Fritte (kein Gastnetz!) und hängst alles andere an dem OpenWRT-Router- Unter OpenWRT kannst Du genausogut gastnetze oder getrennte Netze einrichten. Dann pakcts Du die verschiedenenen Geräte in das jeweils genwünschte netz und alles wird gut.

das ergibt Sinn und soweit verstanden. Aber was mache ich mit den WiFi-Clients, die sich auf der Fritzbox anmelden? Die sollen auch übers VPN geschickt werden.

WiFi der Fritte ausschalten und das vom openwrt-Router nutzen.

lks
Mitglied: panguu
panguu 25.07.2022 um 17:48:32 Uhr
Goto Top
Hä?? Das WiFi der Fritte ist doch schon eingeschaltet.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2022 um 17:59:23 Uhr
Goto Top
Zitat von @panguu:

Hä?? Das WiFi der Fritte ist doch schon eingeschaltet.

Sorry, die Autokorrektur hat von aus auf an geändert.

lks
Mitglied: panguu
panguu 25.07.2022 um 18:23:47 Uhr
Goto Top
ich verbinde port1 der FB mit dem WAN-PORT des DD-Wrt Routers. Die Fritte hat weiterhin die IP 172.16.0.1/24 und der DD-wrt hat weiterhin das LAN-Interface 172.16.0.123/24

in welchem Modus muss der DD-wrt router eingestellt werden unter BASIC SETUP --> WAN-setup connection type?

disabled
static IP
Auto configuration Dhcp

?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2022 um 18:31:23 Uhr
Goto Top
Zitat von @panguu:

ich verbinde port1 der FB mit dem WAN-PORT des DD-Wrt Routers. Die Fritte hat weiterhin die IP 172.16.0.1/24 und der DD-wrt hat weiterhin das LAN-Interface 172.16.0.123/24

Du mußt natürlich ein anderes Netz für das LAn des DD-WRT nehmen.


in welchem Modus muss der DD-wrt router eingestellt werden unter BASIC SETUP --> WAN-setup connection type?

disabled
static IP
Auto configuration Dhcp

Bei DHCP würde zwar funktionieren, aber es ist usus bei Routern static zu nehmen. Wenn Du NAT einschaltest, brauchtst Du in der Fritte keine statische Route, ansonsten mußt du in der Fritte natürlich noch eine statische Route zu dem Netz hinter dem DD-WRT anlegen.

lks
Mitglied: panguu
panguu 25.07.2022 aktualisiert um 19:26:13 Uhr
Goto Top
irgendwie geht das noch nicht wie es sollte. Ich habe zwischen FB und DD-WRT Router das Netz 10.222.222.0/24 verwendet, das heisst im Klartext:

Fritzbox:
IP 10.222.222.1/24
DHCP-server aus
Statische Route: Netz 10.5.5.0/24 via 10.222.222.3/24

DD-wrt router:
WAN setup connection type = Static IP
WAN ip = 10.222.222.3/24
WAN gateway = habs mit 10.222.222.1 und 0.0.0.0 probiert

Network setup Router IP
Local IP : 10.5.5.3/24
Gateway: habs sowohl erst mit 0.0.0.0 und 10.222.222.1 probiert

Ausserdem habe ich auf dem DD-Wrt Router den DHCP-Server aktiviert der verteilt leases von 10.5.5.51-99/24

Ich kann vom PC 10.5.5.43/24 sowohl den DD-Wrt auf 10.5.5.13 als auch die 10.222.222.3 erfolgreich anpingen und auch die Fritzbox unter 10.222.222.1

aaaaber, kein ping 8.8.8.8 ! wieso?? ich bin per ssh auf dem DD-wrt eineloggt und "route -n" sieht m.E. ok aus:

Destination: 0.0.0.0 via gw 10.222.222.11 mask 0.0.0.0

aber auch von hier aus der SSH shell geht kein ping 8.8.8.8
Und ja, die Fritte hat internet Verbindung. Was habe ich übersehen, help??
Mitglied: panguu
panguu 25.07.2022 um 19:43:44 Uhr
Goto Top
Reboot der Fritte hat geholfen. Es hatte jedoch nur die SSH shell auf dem DD-Wrt ping ins Internet. Der PC immer noch nicht. Dann habe ich in der DD-Wrt config im Abschnitt "Advanced Routing" noch auf GATEWAY ganz oben im Dropdownmenü umgestellt, da stand nänlich noch ROUTER drin. Ich schätze mal deshalb konnte DD-Wrt kein NAT nutzen, weswegen der/die Clients im 10.5.5.0/24 nicht ins Internet gelangten.

Bis jetzt ok, komme dem Ziel näher. Muss mich nur n8ch um die WiFi Gäste kümmern...
Mitglied: panguu
panguu 25.07.2022 aktualisiert um 19:55:39 Uhr
Goto Top
Zusätzliches Problem nun: wie handhabe ich das mit den ipv4 portforwardings die bisher auf der FB eingerichtet waren? Es gibt einige Portforwardings (Webserver, Home-Automation, usw...) Wie leite ich all diese Freigaben von der Fritzbox --> durch die DD-WRT box --> an die jeweiligen Endpunkte weiter ?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2022 um 20:46:11 Uhr
Goto Top
Zitat von @panguu:

Zusätzliches Problem nun: wie handhabe ich das mit den ipv4 portforwardings die bisher auf der FB eingerichtet waren? Es gibt einige Portforwardings (Webserver, Home-Automation, usw...) Wie leite ich all diese Freigaben von der Fritzbox --> durch die DD-WRT box --> an die jeweiligen Endpunkte weiter ?

Mach einfach den ddwrt.Router zum exposed host auf der Fritte. Oder Du leitest die Weitergaben an den dd-wrt-router weiter und der macht dann nochmal die weiterleitungen, was aber deutlich fehleranfälliger ist.

lks
Mitglied: panguu
panguu 25.07.2022 aktualisiert um 22:43:50 Uhr
Goto Top
Auf der Fritzbox habe ich den einzigen vorhanden Host im dort ersichtlichen Netzwerk ddwrt-Router (10.222.222.3) zum exposed host freigegeben. Im DD-Wrt Router in der Konfiguration klicke ich auf NaT/Qos --> PortForwarding und erstelle z.B.

Application=Web
Protocol=TCP
Source Net=0.0.0.0/0 (habe aber auch leergelassen probiert oder auch 0.0.0.0)
Port From=443
IP adress = 10.5.5.88
Port To=443
Enable=<checked>

save, apply aber da kommt absolut kein Paket durch. Ich komme von außen via LTE/Mobilfunkgerät auf die Domain (IP/Hostname alles gecheckt, DNS passt, ich monitore den Webserver access.log). Leider geht das nicht. Wie genau geht das mit dem Durchreichen von Ports ?

Ich hab jetzt mal tcpdump laufen lassen sowohl auf dem Webserver (10.5.5.88) als auch auf dem DD-WRT router. Da kommen irgendwelche Pakete an, aber keine Webdarstellung möglich auf dem Smartphone (und auf anderen Geräten außerhalb im öffentlichen Internet). Auch der Webserver 10.5.5.88 zeigt nichts in seinen Logs. Ich habe auf beiden Hosts iptables -F durchgeführt, um sicherzugehen dass nix blockiert. Ich finde den Wurm nicht :/

Auf dem Webserver (10.5.5.88) sehen die Pakete so aus "tcpdump -n port 443":

22:35:56.388551 IP 10.5.5.88.443 > 109.43.234.234.11736: Flags [S.], seq 2975110152, ack 230029039, win 2
8960, options [mss 1460,sackOK,TS val 305060480 ecr 42395712,nop,wscale 7], length 0
22:35:56.388592 IP 10.5.5.88.443 > 109.43.234.234.15959: Flags [S.], seq 3293107587, ack 4051174082, win
28960, options [mss 1460,sackOK,TS val 305060480 ecr 42395704,nop,wscale 7], length 0
22:35:56.644513 IP 10.5.5.88.443 > 109.43.234.234.17759: Flags [S.], seq 374331728, ack 2265080075, win 2
8960, options [mss 1460,sackOK,TS val 305060544 ecr 42395728,nop,wscale 7], length 0
22:35:59.197706 IP 109.43.234.234.13845 > 10.5.5.88.443: Flags [S], seq 1862831618, win 65535, options [m
ss 1460,sackOK,TS val 42399141 ecr 0,nop,wscale 7], length 0
22:35:59.197772 IP 10.5.5.88.443 > 109.43.234.234.13845: Flags [S.], seq 3049216381, ack 1862831619, win
28960, options [mss 1460,sackOK,TS val 305061182 ecr 42397637,nop,wscale 7], length 0
22:35:59.423091 IP 109.43.234.234.30906 > 10.5.5.88.443: Flags [S], seq 660451447, win 65535, options [ms
s 1460,sackOK,TS val 42399165 ecr 0,nop,wscale 7], length 0
22:35:59.423133 IP 10.5.5.88.443 > 109.43.234.234.30906: Flags [S.], seq 3582230647, ack 660451448, win 2
8960, options [mss 1460,sackOK,TS val 305061238 ecr 42397661,nop,wscale 7], length 0
22:36:07.396538 IP 10.5.5.88.443 > 109.43.234.234.13845: Flags [S.], seq 3049216381, ack 1862831619, win
28960, options [mss 1460,sackOK,TS val 305063232 ecr 42397637,nop,wscale 7], length 0
22:36:07.652554 IP 10.5.5.88.443 > 109.43.234.234.30906: Flags [S.], seq 3582230647, ack 660451448, win 2
8960, options [mss 1460,sackOK,TS val 305063296 ecr 42397661,nop,wscale 7], length 0

und auf dem DD-WRT Router so "tcpdump -n host 10.5.5.88":

22:42:35.901101 IP 10.5.5.88.443 > 109.43.234.234.24119: Flags [S.], seq 3455694189, ack 2813262494, win 28960, options [mss 1460,sackOK,TS val 305160367 ecr 42423771,nop,wscale 7], length 0
22:42:43.904101 IP 10.5.5.88.443 > 109.43.234.234.24119: Flags [S.], seq 3455694189, ack 2813262494, win 28960, options [mss 1460,sackOK,TS val 305162368 ecr 42423771,nop,wscale 7], length 0
22:42:43.904231 IP 10.5.5.88.443 > 109.43.234.234.20015: Flags [S.], seq 1618409405, ack 2280478530, win 28960, options [mss 1460,sackOK,TS val 305162368 ecr 42423746,nop,wscale 7], length 0
22:42:51.694847 IP 109.43.234.234.14447 > 10.5.5.88.443: Flags [S], seq 2280478529, win 65535, options [mss 1460,sackOK,TS val 42426852 ecr 0,nop,wscale 7], length 0
22:42:51.695210 IP 10.5.5.88.443 > 109.43.234.234.14447: Flags [S.], seq 2948837286, ack 2280478530, win 28960, options [mss 1460,sackOK,TS val 305164315 ecr 42426852,nop,wscale 7], length 0
22:42:51.974967 IP 109.43.234.234.31721 > 10.5.5.88.443: Flags [S], seq 2813262493, win 65535, options [mss 1460,sackOK,TS val 42426880 ecr 0,nop,wscale 7], length 0
22:42:51.975334 IP 10.5.5.88.443 > 109.43.234.234.31721: Flags [S.], seq 4090259030, ack 2813262494, win 28960, options [mss 1460,sackOK,TS val 305164385 ecr 42426880,nop,wscale 7], length 0
22:42:52.703954 IP 10.5.5.88.443 > 109.43.234.234.14447: Flags [S.], seq 2948837286, ack 2280478530, win 28960, options [mss 1460,sackOK,TS val 305164568 ecr 42426852,nop,wscale 7], length 0
22:42:52.991943 IP 10.5.5.88.443 > 109.43.234.234.31721: Flags [S.], seq 4090259030, ack 2813262494, win 28960, options [mss 1460,sackOK,TS val 305164640 ecr 42426880,nop,wscale 7], length 0
22:42:54.719914 IP 10.5.5.88.443 > 109.43.234.234.14447: Flags [S.], seq 2948837286, ack 2280478530, win 28960, options [mss 1460,sackOK,TS val 305165072 ecr 42426852,nop,wscale 7], length 0
22:42:55.007920 IP 10.5.5.88.443 > 109.43.234.234.31721: Flags [S.], seq 4090259030, ack 2813262494, win 28960, options [mss 1460,sackOK,TS val 305165144 ecr 42426880,nop,wscale 7], length 0

wo ist der Wurm begraben ?
Mitglied: panguu
panguu 25.07.2022 aktualisiert um 23:47:39 Uhr
Goto Top
dasselbe passiert auch mit anderen Applikationen. Pakete erscheinen auf beiden Stationen, allerdings wird nicht auf dem listening port konnektiert. Ich kann mir das immer noch nicht erklären und zwischenzeitlich bin ich zu müde. Gute n8, vielleicht finde ich ja eine hilfreiche Antwort wenn cih morgen wieder hier reinschaue.

Auf jeden Fall danke an alle soweit ...

__EDIT:__ Oh Mann, wenn der Kopf raucht und man nicht mehr ganz bei der Sache ist --> es liegt schlichtweg an der VPN-Verbindung. Ausgehender traffic geht über die VPN-Leitung, eingehender über den ISP ganz normal. Andere Rückroute, deshalb diese komischen Pakete und ohne Bestätigungen. Mann-o-Mann ... ich muss mir überlegen wie ich das anstellen muss, aber morgen gehts weiter
Mitglied: aqui
aqui 26.07.2022 aktualisiert um 08:53:54 Uhr
Goto Top
Gateway: habs sowohl erst mit 0.0.0.0 und 10.222.222.1 probiert
Auf dem lokalen LAN darf kein Gateway eingetragen sein. Nur das WAN Default Gateway zeigt auf die FB, mehr nicht.
Achtung beim DD-WRT mit dem "Operating Mode" des WAN Ports das du den richtig einstellst ohne NAT! Siehe dazu HIER.!
Damit erledigt sich dann auch das Port Forwarding am DD-WRT.
Tip: Router Host IPs packt man immer besser auf die Edge IPs bei einem 24er Prefix .1 und .254 ! face-wink
Grundlegende Infos zu Kaskaden Setups hier und auch hier.
ich muss mir überlegen wie ich das anstellen muss, aber morgen gehts weiter
Hier kannst du eine ähnliche Problematik und deren Lösung nachlesen:
https://administrator.de/forum/wie-portforwarding-ueber-2-miteinander-ve ...
bzw.
https://administrator.de/forum/wie-portforwarding-ueber-2-miteinander-ve ...
Mitglied: panguu
panguu 26.07.2022 aktualisiert um 09:00:41 Uhr
Goto Top
Hallo aqui,

danke für den Tip zum "kein" Gateway. Ich hatte des entsprechend so schon in Nutzung gestern aber jetzt wo du es mir bestätigt hast fühle ich mich auch besser dabei face-smile

EDIT: nachdem du deinen Beitrag noch ergänzt hast --> ja, ich habe in advanced routing bereits "Gateway" als operating mode eingestellt, so dass DD-WRT auch NAT verwendet. Oder meintest du mit dem irgendwie wirren Satzaufbau, dass ist ROUTING einstellen sollte, damit KEIN NAT stattfindet ?

Ich stehe nun allerdings vor der genannten Problematik, die du auch herrlich in deinem verlinkten Forumbeitrag erklärt hast. Ich hab jedoch bei der genannten site keine pfSense zur Verfügung und ich stehe jetzt vor folgendem Problem:

Zusammenfassung soweit:
Fritzbox stellt die Internetverbindung her. Ein Netzwerkkabel verbindet Port1/Fritzbox <---mit----> blauem WAN-Port/DDWRT-Router. Alle Endgeräte wie PCs, Notebooks, Drucker etc. hängen am DD-WRT Router switch.

Wenn auf dem DD-WRT Router der OVPN-Client eingeschaltet und in Betrieb ist, dann macht der redirect-default-gateway und sämtlich ausgehender Verkehr wird also über den Tunnel geschickt. Alle Clients im LAN surfen dann über den VPN-Tunnel. Nun gibt es aber zwei oder drei Hosts im LAN, die von außen erreichbar sein müssen, Webserver 80/443, SSH und noch was anderes von Homeautomationsteuerung. Auf der Fritzbox config habe ich den DD-WRT Router als "exposed Host" eingerichtet, die Fritte leitet also eingehenden Pakete fröhlich an die DD-WRT Box weiter. Auf der DD-WRT Box habe ich unter Nat/QOS simples Port-Forwarding zu den jeweiligen Applikationen+Hosts eingerichtet. Soweit funktioniert das aber nur wenn ich den VPN-Client-Dienst an der DD-WRT ausschalte. Sobald ich ihn einschalte habe ich das Problem mit dem asynchronen Routing, welches fehlschlägt und eingehende Verbindungen zum Webserver oder SSH ... nicht funktionieren!

Wie löse ich das jetzt aber am besten? BINAT und sowas, ich weiß gar nicht ob ich das alles so bequem am DD-WRT Router einstellen könnte oder ob das überhaupt der richtige Ansatz wäre. Das Idealszenario wäre glaube ich etwas wie policy-based-routing, so dass der Webserver-Host zwei Routen hat und kennt. Einerseits zum normalen ausgehenden Internetsurfen seine bereits bestehende default route, die den traffic über DD-WRT's VPN-Tunnel rausschickt und andererseits eine "andere" Route die den VPN-Tunnel irgendwie umgeht und direkt einfach zur Fritte 10.222.222.1 weiterleitet damit die eingehenden Web/SSH/Homeautomation Geschichten funktionieren würden. Aber wie ???
Mitglied: aqui
aqui 26.07.2022 um 09:07:39 Uhr
Goto Top
Alle Clients im LAN surfen dann über den VPN-Tunnel.
Hoffentlich dann nicht einer dieser mehr als gruseligen öffentlichen VPN Anbieter...?!
https://administrator.de/forum/was-haltet-ihr-von-vpn-649679.html
ob ich das alles so bequem am DD-WRT Router einstellen könnte
Ja, aber das erfordert ein Customizing der iptables Firewall über den Konsol Zugang per SSH/PuTTY. Bekommt man alles hin ist aber Aufwand.
Wenn du es einfacher haben willst realisierst du einen OpenVPN Client Zugang direkt auf den DD-WRT und greifst dann auf diese Endgeräte zu.
DD-WRT ist keine gute Wahl. Mit einem 20 Euro Mikrotik wärst du da wegen der deutlich einfacheren Konfig Optionen besser gefahren...aber nundenn.
Das Idealszenario wäre glaube ich etwas wie policy-based-routing
Richtig! Das wäre ideal, aber dafür hast du eine mehr als ungünstige HW Wahl getroffen die das nur mit ziemlichen Konfig Aufwand über das CLI/SSH lösen kann.
so dass der Webserver-Host zwei Routen hat
Wäre auf dem Endgerät Blödsinn bei Policy Routing, denn dann regelt das ja der Router mit PBR! face-wink
Mitglied: panguu
panguu 26.07.2022 aktualisiert um 09:37:34 Uhr
Goto Top
Ja natürlich, das meinte ich ja auch, pbr muss auf dem router realisiert werden. Welchen VPN Dienst er nutzt hab ich jetzt gar nicht in Erinnerung, müsste mir die config wieder anschauen. Ich schätze mal aber dass es einer der meistbeworbenen im Netz sein sollte, da "er" gerne viel kauft was "beworben" wird. Hardwaretausch ist keine Option, es soll vorhandenes genutzt werden. Und wenn's nicht läuft, mir auch egal. Dann muss er sich halt anderweitig umschauen oder doch was andres kaufen. Ich versuch ihm lediglich zu helfen, soweit es natürlich möglich ist.

Wenn du es einfacher haben willst realisierst du einen OpenVPN Client Zugang direkt auf den DD-WRT und greifst dann auf diese Endgeräte zu.

wie meinst du das im Detail? Habe ich nicht verstanden. Momentan ist doch auch auf dem DD-WRT ein "OpenVPN Client" eingerichtet.

Oder ich verbinde die paar Hosts (Webserver, SSH, Homeauto) mit der Fritzbox und die haben halt dann "normales" Internet ohne VPN-Maskierung. Muss er halt damit leben face-smile
Mitglied: aqui
aqui 26.07.2022 um 09:42:20 Uhr
Goto Top
da "er" gerne viel kauft was "beworben" wird.
Das sind dann meist immer die Bösen. Gute gibt es da ja gar nicht oder zumindestens nur ganz wenige. Siehe den aktuellen Bericht im ct' Magazin.
Momentan ist doch auch auf dem DD-WRT ein "OpenVPN Client" eingerichtet.
Entweder noch einen OVPN Server dafür oder ein anderes VPN einrichten wie L2TP usw.
mit der Fritzbox und die haben halt dann "normales" Internet ohne VPN-Maskierung.
Das wäre dann die noch einfachere und wohl auch beste Lösung in dem Design! face-wink
Mitglied: panguu
panguu 26.07.2022 um 10:28:50 Uhr
Goto Top
ich probier's mal mit PBR und schaue ob ich das irgendwie gebacken bekomme... wird im Laufe des Tages irgendwann passieren wenn ich wieder bei ihm bin. Ich gebe Rückmeldung. Danke soweit
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.07.2022 um 10:40:11 Uhr
Goto Top
Zitat von @panguu:

ich probier's mal mit PBR und schaue ob ich das irgendwie gebacken bekomme... wird im Laufe des Tages irgendwann passieren wenn ich wieder bei ihm bin. Ich gebe Rückmeldung. Danke soweit

Die kannst natürlich einfach die"Server", die ohne VPN erreichbar sein sollen, in das Frittennetz hängen.

lks
Mitglied: panguu
panguu 26.07.2022 um 10:48:29 Uhr
Goto Top
Jo, hatte ich ja oben bereits so in Erwägung gezogen. Das wäre die einfachste Möglichkeit, allerdings geht deren kompletter ausgehender traffic nicht mehr über das VPN. Das versuche ich noch zu vermeiden durch PBR, ich habe auch schon eine Idee muss das aber in Ruhe später bei ihm ausprobieren. Danke euch Allen!
Mitglied: panguu
Lösung panguu 26.07.2022 aktualisiert um 16:08:26 Uhr
Goto Top
So, melde mich zurück mit ERFOLG face-smile hat wider Erwartens funktioniert wie ich es mir erwünscht hatte. Und ihr hattet Recht, es ist eines dieser großumworbenen VPN-Anbieter, um genau zu sein NordVPN. Ich habe das bei ihm jetzt wie folgt gelöst:

Der Ordnung halber habe ich die Fritzbox mit folgende IP-Konfiguration versehen:

IP = 10.222.222.1/30 (also subnet 255.255.255.252)
DHCP-Server = AUS
Statische Route = 10.5.5.0/24 via 10.222.222.2

Und der DD-WRT Router hat:

WAN IP = 10.222.222.2/30 (also subnet 255.255.255.252)
WAN Gateway= 10.222.222.1
STATIC DNS 1 und 2 = 103.86.96.100 und 103.86.99.100 (sind die von NordVPN)

LAN IP = 10.5.5.1/24
LAN GW = 0.0.0.0
LAN Local DNS = 0.0.0.0
DHCP-Server auf diesem Subnet, der alle Endgeräte versorgt.

Dann habe ich unter Administration --> Commands --> Firewall Script noch ein paar Zeilen hinzugefügt als Kill Switch, die keinen Verkehr übers Internet erlauben insofern der VPN-Tunnel nicht steht. Sobald der VPN-Tunnel nicht zur Verfügung steht, haben die Clients auch kein Internet. Erst wenn der VPN-Tunnel stehen, kommen sämtliche Endgeräte auch ins Internet und sind somit *hust* "verschleiert". Er wollte das so, also hat er es bekommen :P

Und das Problem mit Web-/SSH-/Automationsserver, die von außen erreichbar sein sollen habe ich wie folgt gelöst --> die normalen policy-based-rules erlauben leider nur die Auswahl von Hosts, man kann source und destination angeben aber nix auf Portebene konfigurieren. Iptables ist da besser und erlaubt große Freiheit, man kann beliebige Krtiterien festlegen. Ich tagge mittels "iptables -t mangle -A PREROUTING ... -j MARK ... " alle Pakete mit source = web/ssh/automat.-server und ihren entsprechenden Applikationsports und markiere sie mit einer bestimmten frei wählbaren Nummer. Diese Nummer weise ich mittels ip rule add ... in einer von mir frei gewählten neu erstellten table zu (z.B. Nummer 222) und anschließend kann ich mittels ip route add default via 10.222.222.1 dev eth1 table 222 die Route zur Fritzbox herstellen. Und es funktioniert einwandfrei ! Alle eingehenden Pakete für diese von mir definierten Applikationen kommen über die Fritzbox rein, werden zum DD-WRT weitergereicht und von dort direkt zum jeweiligen Host. Und das NUR für die festgelegten eingehenden Portverbindungen. Jeglicher anderer traffic des Web-/SSH-/Automationsservers wird weiterhin komplett durch den VPN-Tunnel geschickt.

Kappe ich den VPN-Tunnel kann kein Endgerät mehr im Internet surfen. Aber eingehende Pakete zum Web-/SSH...Server funktionieren dennoch weiterhin, die Dienste sind über die normale WAN-IP seines ISPs verfügbar. Der Rest steht still und zwar so lange bis der VPN-Tunnel wieder steht.

Das Einzige woran ich noch bastle ist das mit dem WiFi-Gast. Ich versuche das nun irgendwie über den DD-WRT abzuwickeln, muss dafür aber vermutlich WDS oder ähnliches einsetzen, da die Verbindung zu weit weg ist und sonst nicht wie von ihm funktioniert. Das kriegen wir aber auch noch irgendwie gebacken.

___Fazit___ --> Ich habe wieder was interessantes dazugelernt und Bekannter ist glücklich.

Vielen Dank an Euch Alle !!!